Ob beim Online-Banking, bei Social-Media-Accounts oder bei der Anmeldung am Laptop – Passwörter sind in unserem digitalen Alltag omnipräsent. Zu einfache Kennwörter stellen jedoch eine große Gefahr dar, komplexe Zeichenkombinationen dagegen sind nur schwer zu merken.

Apple, Google und Microsoft wollen dieses Dilemma zusammen mit der Fido-Alliance umgehen und arbeiten dazu schon seit längerem an einer passwortlosen Sign-In-Variante, die das klassische Passwort ersetzen soll.

Zwei neu angekündigte Funktionen sollen das neuartige Anmeldeverfahren nun stark vereinfachen und die Technik dadurch weiter verbreiten. Doch was steckt hinter dem Fido-Prinzip und kann es das klassische Passwort tatsächlich ablösen?

Login ohne Passwort: So funktioniert das Fido-Prinzip

Das Kürzel Fido bedeutet Fast Identity Online. Einige Hundert Organisationen und Unternehmen, darunter Apple, Google und Microsoft, erarbeiten im Rahmen der Fido-Alliance seit 2012 einen neuen Standard, der Verbraucher:innen eine sichere und zugleich passwortlose Anmeldung bei Onlinediensten ermöglichen soll.

Herkömmliche Passwort-Anmeldungen und auch Zwei-Faktor-Authentisierungen würden demnach nicht ausreichen, um vor Datendiebstahl oder Phishing zu schützen. Die Fido-Initiative will deshalb eine End-to-End-Variante zur neuen Norm machen, die ein Passwort überflüssig macht.

Der aktuelle Fido-2-Standard nutzt dazu kryptografische Verfahren zum Schutz der Nutzer:innen per Schlüsselpaar:

  1. Für jede Website oder Anwendung wird ein eigener Schlüssel erzeugt (Private Key). Dieser wird lokal gespeichert, etwa auf einem USB-Dongle, also einem kleinen USB-Stecker, oder auf dem Smartphone.
  2. Jede Website oder App erhält außerdem einen öffentlichen Schlüssel (Public Key). Dieser Fido2-Key wird in der Schlüsseldatenbank des Webservices hinterlegt.
  3. Die Anmeldung ist nur dann möglich, wenn beide Schlüssel – Private und Public Key – auch zusammenpassen. Nutzer:innen müssen dazu bei der Anmeldung zu einem Online-Dienst ihren privaten Schlüssel nachweisen. Dies kann mit unterschiedlichen Nutzer:innenaktion erfolgen, etwa durch Spracheingabe, Fingerabdruck oder Drücken eines Buttons.

Phishing-Versuche sind dadurch zum Scheitern verurteilt: Selbst wenn Nutzer:innen auf einer Fake-Website ihre Zugangsdaten eingeben – und dadurch ihre Daten an Dritte übermitteln, fehlt den Tätern der öffentliche Schlüssel für die Original-Website.

Die Cloud soll Fido nun als Standard etablieren

Aktuell würde der Anmeldestandard laut der Initiative bereits von vielen Geräten und Webbrowsern unterstützt werden. Android-Nutzer:innen können dank der Fido-2-Zertifizierung seit 2019 bei Login-Vorgängen für Apps und Websites den Fingerabdruck-Sensor nutzen. Mircosoft bietet die Technik seit Windows Hello und Windows 10 an. Apple hatte das Verfahren etwas später mit iOS 14 und iPadOS 14 in Face- und Touch-ID eingeführt.

Eine Hürde sei allerdings, dass Nutzer:innen sich bislang auf allen Websites und Apps mit jedem Gerät einmalig registrieren müssten, um die neue Login-Funktion zu nutzen.

Das soll sich nun ändern. Dazu haben die Tech-Konzerne zusammen mit Fido zwei neue Funktionen präsentiert:

  • Fido-Anmeldeinformation: Nutzer:innen sollen fortan via Cloud automatisch von mehreren Geräten aus auf die Fido-Anmeldeinformationen (Passkey) zugreifen können, indem der private Schlüssel (Private Key) dort als Backup hinterlegt wird. Dadurch soll das zusätzliche Registrieren von Diensten auf unterschiedlichen Geräten entfallen.
Fido-Sign-in: So wollen Apple, Microsoft und Google Passwörter abschaffen
Die Anmeldung ohne Passwort soll bald für unterschiedliche Geräte vereinfacht werden. Bild: Fido Alliance
  • Fido-Authentisierung: Künftig soll es zur Authentisierung ebenfalls ausreichen, wenn das Smartphone sich in der Nähe befindet und per Bluetooth mit dem genutzten Gerät verbunden ist. Nutzer:innen müssten sich dann lediglich via Smartphone biometrisch ausweisen.
Das Smartphone soll als Schlüsselträger das Passwort ersetzen. Bild: Fido Alliance

Diese Neuerungen sollen für Fido unabhängig von Browser, Betriebssystem und Gerät machen und Verbraucher:innen dadurch die Nutzung deutlich vereinfachen.

Wann sind die neuen Funktionen verfügbar?

Fido-Manager Andrew Shikiar sagte dem Spiegel, dass Apple, Google und Microsoft die neu angekündigten Funktionen nun nach und nach im Laufe der nächsten 18 Monate in ihre Dienste integrieren werden.

Ob sich das Verfahren dann auch flächendeckend bei den Verbraucher:innen durchsetzen wird, bleibt abzuwarten. Die Funktionen könnten ein Ende des herkömmlichen Passwort-Verfahrens zumindest wahrscheinlicher machen.